Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

26.02.2014 - 

Maßnahmen für die Praxis

Leitfaden zum Datenschutz in Unternehmen

Dr. Sebastian Kraska gründete das Institut für IT-Recht IITR, das auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und gemeinsam mit Regionalpartnern Unternehmen bundesweit bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt. Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden.
Die EU ringt derzeit um neue Regularien zum europäischen Datenschutz. Welche Maßnahmen Unternehmen schon im Vorfeld ergreifen sollten, erläutert Rechtsanwalt Dr. Sebastian Kraska.
Rechtsanwalt Dr. Sebastian Kraska von der IITR GmbH: "Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann"
Rechtsanwalt Dr. Sebastian Kraska von der IITR GmbH: "Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann"
Foto: IITR GmbH

Von Dr. Sebastian Kraska (Externer Datenschutzbeauftragter)

Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden, beispielsweise für Hosting, Gehaltsabrechnung oder für das Management der externen IT-Systeme. Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen.
Es empfiehlt sich daher, zu Beginn zu analysieren

  • welche Dritt-Dienstleister im Unternehmen eingesetzt werden (gerade bei größeren und global agierenden Unternehmen nimmt dieser Schritt meist mehrere Monate in Anspruch) und

  • welche vertraglichen Rahmenbedingungen mit den jeweiligen Dienstleistern bestehen. Häufig gibt es keine einheitlichen Vertragsstrukturen oder es wurden Dritt-Dienstleister ohne detaillierte Vertragsvorgaben beauftragt.

Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen. als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen.

Checkliste für den Einsatz von Dritt-Dienstleistern

Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:

  • Festlegung technischer/organisatorischer Mindeststandards und Audit-Möglichkeiten: es sollten Regelungen beinhaltet sein, welche technischen/organisatorischen Mindeststandards vom Dritt-Dienstleister erwartet werden. Ferner sollte vertraglich geklärt werden, in welcher Art und in welchem Umfang der Auftraggeber durch Auditierungen die Einhaltung dieser Vorgaben kontrollieren können kann.

  • Informationspflicht im Datenverlustfall: der Dritt-Dienstleister sollte verpflichtet werden, im Datenverlustfall unverzüglich den Auftraggeber zu informieren

  • Regelung zur Datenlöschung: es empfiehlt sich ferner eine vertragliche Vereinbarung zur Datenlöschung bei Beendigung der vertraglichen Beziehungen.

  • Einsatz von Unter-Auftragnehmern: in der Praxis bewährt hat sich zudem die Empfehlung, dass auch der Einsatz von Unter-Auftragnehmern durch den Dritt-Dienstleister vertraglich geregelt werden sollte.

  • Ort der Datenverarbeitung: aufgrund der unterschiedlichen Handhabe gerade hinsichtlich europäischer und außer-europäischer Dritt-Dienstleister empfiehlt sich ferner eine Festlegung im Vertrag hinsichtlich des Orts der Datenverarbeitung.

Interne Regelungen zur Datenlöschung

Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung, entlang der Leitfragen: "Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?"
Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt. Denn nicht mehr vorhandene Daten können nicht entwendet werden.
Zum anderen zwingt es das Unternehmen zu einer transparenten und damit effizienten Unternehmens-IT. Denn nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden. Und schließlich wird damit auch die IT-Infrastruktur im Unternehmen entlastet.

Interne technische und organisatorische Mindeststandards definieren

In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen(sverbund) festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden.
Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.

Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:

  • Regelung zur Passwortvergabe bei Neueinstellungen, dem Prozess zur Passwortänderung sowie die Festlegung einer bestimmten Passwortkomplexität. Dies kann häufig hinsichtlich der Windows-Systeme über zentrale Systemvorgaben im Active Directory erfolgen; die Regelung sollte aber auch den Zugriff auf ERP-Systeme etc. erfassen.

  • Sperrung von gestohlenen und verlorenen Geräten: Empfehlenswert ist ferner die Festlegung eines Prozesses, den Diebstahl bzw. den Verlust eines IT-Gerätes mitteilen zu können, um es gegebenenfalls sperren bzw. löschen zu können.

  • Einsatz von Verschlüsselungsverfahren: Unternehmen legen in der IT-Sicherheitsrichtlinie zudem häufig den Einsatz von Verschlüsselungsverfahren fest (Notebook-Verschlüsselung, externe Datenträger, E-Mail-Verschlüsselung, gesicherter FTP-Server etc.).

  • Umgang mit Papierunterlagen: die strengsten IT-Sicherheitsvorgaben laufen ins Leere, wenn ausgedruckte vertrauliche Unterlagen nicht datenschutzkonform verwahrt und vernichtet werden. Die IT-Sicherheitsrichtlinie sollte daher die Voraussetzungen zu einem datenschutzkonformen Umgang mit Papierunterlagen schaffen (verschließbare Schränke, Aufstellen von Datentonnen bzw. Shreddern etc.).

  • Etablierung des Erforderlichkeits-Prinzips bei der Vergabe von Zugriffsberechtigungen: Es sollte konzernweit festgelegt werden, dass die Zugriffsvergabe auf Daten nur in dem Umfang erfolgen sollte, in dem dies für die jeweilige Person zur Durchführung ihrer Aufgaben erforderlich ist.

  • Umgang mit Smartphones im Unternehmen: Häufig ist es zudem angeraten, in der IT-Sicherheitsrichtlinie auch Vorgaben zum Umgang mit Smartphones im Unternehmen zu treffen. Zu klären sind dabei Fragen wie: Ist der Einsatz privater Geräte gestattet? Dürfen betriebliche Smartphones auch zu privaten Zwecken eingesetzt werden?

Newsletter 'Business-Tipps' bestellen!

Inhalt dieses Artikels